「ドメインコントローラーが壊れたらどうしますか?」——この質問に即答できるインフラエンジニアは、現場でどれくらいいるでしょうか。
ADの復旧手順は、平時に準備しておかなければ有事に使えません。バックアップを「取っている」だけで「復元できる」状態になっていない現場は少なくありません。
この記事では、ADのシステム状態バックアップの取得手順と、障害シナリオ別の復旧方法を整理します。
「DCが壊れたらどうするか」——答えられますか?
ドメインコントローラー(DC)はActive Directory環境の心臓部です。DCが停止すると、ドメイン参加端末のログオン・グループポリシーの適用・ファイルサーバーへのアクセスなど、業務の根幹が止まります。
ADの全体的な役割については「Active Directoryとは?」で解説しています。
DCの障害シナリオは大きく3つに分類されます。
| シナリオ | 内容 |
|---|---|
| DC1台の障害 | 複数DC構成で1台が壊れた。他のDCが生きている |
| 全DC喪失 | ランサムウェアや災害で全DCが失われた |
| オブジェクトの誤削除 | ユーザー・グループ・OUを誤って削除してしまった |
それぞれのシナリオで使う復旧手順が異なります。どのシナリオにも対応できるよう、バックアップと復旧手順を事前に整備してください。
ADバックアップの基本を理解する
なぜADのバックアップは特別なのか
ADのデータはファイルをコピーするだけでは復旧できません。ADはデータベース(NTDS.DIT)・レジストリ・SYSVOLフォルダなど複数のコンポーネントが連携して動いており、これらを整合性を保った状態でまとめてバックアップする必要があります。
NTDS.DIT Active Directoryのデータベースファイル。ユーザー・グループ・コンピューターなどすべてのオブジェクト情報が格納されている。通常は
C:\Windows\NTDS\ntds.ditに保存される。
この「まとめてバックアップ」を実現するのがシステム状態バックアップです。
システム状態バックアップとは——ADに必要なデータが詰まっている
システム状態バックアップ(System State Backup) Windowsのシステム復旧に必要なコンポーネントをひとまとめにしたバックアップ。DCではNTDS.DIT・SYSVOL・レジストリ・ブートファイル・証明書サービスなどが含まれる。
システム状態バックアップに含まれる主なコンポーネントは以下の通りです。
| コンポーネント | 内容 |
|---|---|
| NTDS.DIT | ADのデータベース本体 |
| SYSVOL | グループポリシーのテンプレート・ログオンスクリプト |
| レジストリ | システム設定・サービスの設定値 |
| ブートファイル | OS起動に必要なファイル群 |
| COM+クラスの登録データベース | COMコンポーネントの登録情報 |
バックアップ設計の基本的な考え方(RPO・RTOの設定)については「バックアップ設計とは?」を参照してください。
バックアップの取得手順——Windows Server バックアップを使う
事前準備——Windows Server バックアップ機能の有効化
Windows Server バックアップはデフォルトでインストールされていない場合があります。まずサーバーマネージャーまたはPowerShellで機能を有効化してください。
# Windows Server バックアップ機能の追加
Install-WindowsFeature Windows-Server-Backup
# インストール確認
Get-WindowsFeature Windows-Server-Backup
システム状態バックアップの実行
機能の有効化後、以下のコマンドでシステム状態バックアップを取得します。バックアップ先はDCとは別のドライブまたはネットワーク共有フォルダを指定してください。
# システム状態バックアップの実行(ネットワーク共有フォルダへ)
wbadmin start systemstatebackup `
-backupTarget:\\fileserver\backup\dc01 `
-quiet
# バックアップの完了確認
wbadmin get versions
バックアップ先の選定:DCと同じ物理サーバー上のドライブへのバックアップは、ハードウェア障害時に共倒れになるリスクがあります。別サーバーのネットワーク共有・外付けドライブ・クラウドストレージのいずれかを使用してください。
スケジュール設定——自動化で取り忘れを防ぐ
手動での取得は忘れが発生します。タスクスケジューラまたはWindows Server バックアップのスケジュール機能で自動化してください。
# スケジュールバックアップの設定例(毎日23:00に実行)
wbadmin enable backup `
-addtarget:\\fileserver\backup\dc01 `
-schedule:23:00 `
-systemstate `
-quiet
ADのTombstone期間(デフォルト180日)以内のバックアップが復旧に使えます。それより古いバックアップは使用できないため、最低でも週1回・できれば毎日の取得を推奨します。
Tombstone期間(Tombstone Lifetime) 削除されたADオブジェクトがデータベース上に「削除済み」として保持される期間。デフォルトは180日。この期間を超えたバックアップからの復元はサポートされない。
参考:Active Directory フォレストの回復 – フル サーバー バックアップ | Microsoft Learn
復旧の種類と使い分け
非正規の復元——DC1台が壊れたが他のDCが生きている場合
非正規の復元(Non-authoritative Restore) バックアップからDCを復元した後、他の生きているDCから最新のADデータを自動的に受け取る(レプリケーションされる)復元方法。
複数DC構成で1台が壊れた場合に使う、最も一般的な復元方法です。バックアップから復元後、ADレプリケーションによって他のDCから最新データが自動同期されます。
手順の概要:
- 壊れたDCをWindows PEまたは回復環境で起動
wbadmin start systemstaterecoveryでシステム状態を復元- 再起動後、他のDCから自動的にレプリケーションが実行される
# システム状態の復元(非正規)
wbadmin start systemstaterecovery `
-version:<バックアップのバージョン番号> `
-quiet
正規の復元——すべてのDCが失われた場合
正規の復元(Authoritative Restore) バックアップから復元したデータを「最新の正しいデータ」として強制的に扱い、他のDCに上書きレプリケーションさせる復元方法。全DC喪失時や誤削除の復旧で使用する。
全DCが失われた最悪のシナリオで使います。1台のDCをバックアップから復元した後、ntdsutilコマンドで「このデータが正しい」とマークしてから他のDCを再構築します。
手順の概要:
- DCをディレクトリサービス修復モード(DSRM)で起動
wbadmin start systemstaterecoveryでシステム状態を復元- 再起動前に
ntdsutilでマーキング - 再起動して他のDCを再構築・参加させる
DSRM(Directory Services Restore Mode) ADのデータベースをオフラインで操作するための特殊な起動モード。F8キーで起動時に選択する。DSRMパスワードは通常のAdministratorパスワードとは別に管理が必要。
DSRMパスワードの管理:DSRMパスワードは設定後に忘れられることが多く、いざ復旧しようとしたときに使えないというケースが現場でよく発生します。定期的に確認・更新してください。
# DSRMパスワードの変更
ntdsutil "set dsrm password" "reset password on server dc01" quit quit
権限ある復元——誤削除したオブジェクトを復元する場合
ユーザーアカウントやOUを誤って削除してしまった場合に使います。まず非正規の復元でDCをバックアップの状態に戻した後、ntdsutilで削除されたオブジェクトだけを「権限ある」状態にマークして復元します。
なお、**Windows Server 2008 R2以降ではごみ箱機能(AD Recycle Bin)**が利用可能です。有効化しておくと、誤削除したオブジェクトをバックアップなしで復元できるため、必ず有効化してください。
# AD Recycle Binの有効化
Enable-ADOptionalFeature `
-Identity "Recycle Bin Feature" `
-Scope ForestOrConfigurationSet `
-Target "yourdomain.local"
# 削除済みオブジェクトの復元例
Get-ADObject -Filter {DisplayName -eq "削除されたユーザー名"} `
-IncludeDeletedObjects | Restore-ADObject
AD特権アカウントの設計と権限管理については「AD特権アカウントの設計」を参照してください。
よくある失敗パターン——「バックアップがあるから大丈夫」の落とし穴
① バックアップは取っていたが古すぎた
「最後にバックアップを取ったのは半年前」というケースは実際に起きます。Tombstone期間(デフォルト180日)を超えたバックアップからの復元はサポートされません。スケジュールを設定して定期的な自動取得を必ず実施してください。
② テスト復元を一度もしていなかった
バックアップが正常に取得できていても、実際に復元できるかは別の話です。テスト環境で年1回以上の復元訓練を実施し、手順書と実際の操作が一致しているか確認してください。本番障害時にはじめて手順を試すのは最も危険な対応です。
③ DSRMパスワードがわからなくなっていた
DSRM(ディレクトリサービス修復モード)で起動するにはDSRMパスワードが必要ですが、DC構築時に設定したまま管理されていないケースがほとんどです。ADイベントログ監査の設定とあわせて、DSRMパスワードの定期確認を運用フローに組み込んでください。
④ バックアップ先がDCと同じ場所にあった
DCのローカルドライブにバックアップを保存していると、ハードウェア障害・ランサムウェア感染時にバックアップも同時に失います。バックアップ先は必ずDCとは物理的・ネットワーク的に分離した場所に置いてください。ランサムウェア感染時のバックアップ保護については「ランサムウェア対応の初動手順」も参照してください。
実務チェックリスト——ADバックアップ・復旧設計の確認ポイント
バックアップ設計
- [ ] Windows Server バックアップ機能がDCにインストールされているか
- [ ] システム状態バックアップが定期的(週1回以上)に取得されているか
- [ ] バックアップ先がDCとは別の場所(別サーバー・クラウド等)になっているか
- [ ] Tombstone期間(180日)以内のバックアップが保持されているか
- [ ] AD Recycle Binが有効化されているか
復旧準備
- [ ] DSRMパスワードが管理されており、担当者が把握しているか
- [ ] 復旧手順書が整備されており、最新の環境に合っているか
- [ ] テスト環境での復元訓練を実施したことがあるか
- [ ] 復旧担当者が手順を把握しているか(属人化していないか)
定期確認
- [ ] バックアップの取得ログを定期確認しているか(取得失敗の検知)
- [ ] バックアップファイルの世代管理ができているか
- [ ] ADイベントログでレプリケーションエラーが発生していないか
ADイベントログの監査設定については「ADイベントログ監査」で詳しく解説しています。
まとめ——今日確認すべきことは1つです
今日やることは1つだけです。wbadmin get versionsを実行して、直近のシステム状態バックアップがいつ取得されているか確認してください。
バックアップが存在しない、または古すぎる場合は今日中にスケジュール設定を行ってください。あわせてAD Recycle Binが有効化されているかも確認してください。この2つを整備するだけで、誤削除と障害への対応力が大きく上がります。
あわせてご覧ください
コメント